https facebook
 
Bildirimler
Hepsini Temizle

https facebook  

Sayfa 2 / 3
  RSS
Tuncay BAŞ
(@TuncayBAS)
Üye

Yapılması gereken TMG de olduğu gibi SSL Inpect i açmak. Onuda zaten Protection Profile da Protocol Recognition bölümünden hallediyoruz.

CevapAlıntı
Gönderildi : 22/06/2010 11:37
Hakan Yeşilbayrak
(@HakanYesilbayrak)
Üye

bağlanıp bakacak varmı bu fortiye

CevapAlıntı
Gönderildi : 25/06/2010 19:36
Ufuk TATLIDIL
(@ufuktatlidil)
Saygın Üye

Merhaba ,

Bu tarz istek ve bildirimlerin talebi formumuzda  yasaktır.

Teşekkürler.

CevapAlıntı
Gönderildi : 25/06/2010 19:41
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Savaş bey forti konusunda danışmanlık yapıyor kendisi ile profesyonel olarak görüşebilirsiniz

http://www.f1teknoloji.net/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 26/06/2010 00:32
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Fortide nasıl yapılıyor bilmemde,

 

Genel olarak HTTPS trafikleri taranamaz yapıdadırlar, yani trafik bir şekilde başlar ise kesmenin yolu olmasa gerek. Eğer trafik başldığında kesemiyorsak bir şekilde bu tarafiğin başlamasına engel olmamız lazım. IDS ve IPS yapılarında SSL, ve Secure bağlantılar yapan bir çok sistem için güvenlik önlemleri var ama https bağlantı yapılacak bir FQDN adına ilişkin bir imza olmasa gerek. HTTPS bağlantılarında ağa kapatmak olmaz. Bankası var, mail sitesi var.

O zaman bu tür bir bağlantıyı iki yolla keseriz, bir facebook.com alan adının sorgusunu kesebiliriz ki, cihazın FQDN adlarına ilişkin kural yazması lazım profesyonel routerlar bunu desteklemez gibi me geliyor neme lazım DNS poisoning filan oluşur, e o zaman en mantıklı yol IP bazında kesmek olacaktır. nslookup ile isimleri sorgulatıp, bu IP adreslerıne gıdısı kapatmak yeterlı olsa gerek. Tabi proxy çıkışlarınıda kapatmak lazım ki gidilen yer başka IP gösterilip aslında facebook da cocukluk arkadaşları aranmasın.

CevapAlıntı
Gönderildi : 26/06/2010 05:00
Savas Demir
(@savasdemir)
Saygın Üye

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

CevapAlıntı
Gönderildi : 30/06/2010 17:50
Savas Demir
(@savasdemir)
Saygın Üye

şirketimizden Kemal Bey size müdahele ettiğini ve sorunuzu çözdüğünüzü söyledi.
konu ile ilgili bilgilendirirmisiniz ?
selamlar

CevapAlıntı
Gönderildi : 30/06/2010 17:51
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Savas Demir"]merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar[/quote]

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

CevapAlıntı
Gönderildi : 30/06/2010 18:52
sarp.agim
(@sarp.agim)
Üye

Bazı arkadaşların belirttiği gibi fazla detaya inmeye gerek yok.

 

SSL inspect ile ilgili ufak çaplı bir araştırma ile sorunun çözülecektir.

 

Saygılarımla

CevapAlıntı
Gönderildi : 30/06/2010 20:59
Savas Demir
(@savasdemir)
Saygın Üye

[quote user="Ertan ERBEK"]

[quote user="Savas Demir"]merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar[/quote]


 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?


[/quote]


https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

CevapAlıntı
Gönderildi : 30/06/2010 21:09
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Sarp Bey, şimdi sizin için bu işler kolay tabi ki. Tabi biz öğrenmeye çalışıyoruz, aslında konu hakkında ki bilgilerinizi bizimle paylaşsanız güzel olurdu.

CevapAlıntı
Gönderildi : 30/06/2010 21:20
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

[quote user="Savas Demir"][quote user="Ertan ERBEK"]

[quote user="Savas Demir"]merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar[/quote]

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

[/quote]

https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

[/quote]

 

Savaş Bey, yapıyı kurarken; HTTPS trafiği içinde facebook yakalar isen  kesmi diyorsunuz yoksa HTTPS trafinğini mi kesiyorsunuz. Sonuçta ben IP yazdığımda ve HTTPS trafiğini başlattığımda trafik bir kez sertfikalı hale gelir ise o andan sonrasını hiç bir cihazın görememesi lazım. Yok eğer görüyor ise bankalarda ve HTTPS trafikli sistemlerin hiçbirisinde güvenlik kalmamış demektir.

 

Eğer ben IP ile facebook adresine gider isem benim gönderdiğim paket içerisinde facebook.com ibarisi olmayacaktır, ilk paketten sonra sertifikalı yapıye geçer isem ondan sonrasında data içeriği okunamaz diye biliyorum, ama kesin çözüm olarak facebook ıplerini versem ve bu ıplere HTTPS reguest Vx leri kes dersem zaten IP istinaden bir HTTPS isteği yapamıyacağım için datamı HTTP ile açık göndermem lazım, bunuda her şekilde keserim gibime geliyor.

 

Konu ile ilgilendiğiniz için teşekkürler.

CevapAlıntı
Gönderildi : 30/06/2010 21:44
Savas Demir
(@savasdemir)
Saygın Üye




fortiguard web filtering bir hizmettir ve bu hizmette hangi ip adresi hangi category ait bilinmektedir.dolayısı ile siz fortiguard web filteringi aktif ettiğiniz anda ve categorylerden personel releationship i engellediğiniz zaman sizin facebook veya siberalem gibi kişisel tanışma sitelerine yapacağınız istek önce fortigate e gelecek bu isteği fortigate sorgulayacak ve izinli categoride ise izin verecek.


bankalardaki https trafiğinin içine baktığına dair ben bir şey söylemedim , şayet öyle olsa çok kişinin canı yanardı,https trafiğini fortigate dışında websense ilede denetim altına alabilirsiniz.denetimden kastım incelemek değil !!!. https olarak gidilecek sayfalar categori bazında izinli ise pass et değilse engelle diye.

CevapAlıntı
Gönderildi : 01/07/2010 12:14
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Şimdi daha anlaşılır oldu, teşekkürler Savaş Bey. Yazılanlardan sanki HTTPS içeriği incelenebiliyormuş gibi bir hava çıktı. Elbette web content hizmeti ile rahatlıkla kesilebilir.

 

Teşekkürler.

CevapAlıntı
Gönderildi : 01/07/2010 12:25
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

güzel paylaşım oldu bu post..

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/07/2010 13:16
Savas Demir
(@savasdemir)
Saygın Üye

bu posta emeği geçen herkese teşekkürler

CevapAlıntı
Gönderildi : 01/07/2010 13:46
sarp.agim
(@sarp.agim)
Üye

Savaş beyin bahsettiği  Websense konusu ile ilgili herhangi bir konuda yardıma ihtiyacı olan kişi hiç çekinmeden bana danışabilir.

Websense sertifikasyonuna sahip değilim ama çalıştığım yer gerekse pozisyonum gereği uzmanlığım Websense üzerinedir. WSS   WSG gibi konularda Türkiyenin her yerinde danışmanlık hizmeti veriyorum zaten.

Bilginize ve Saygılarımla

CevapAlıntı
Gönderildi : 02/07/2010 12:55
oguzp
(@oguzp)
Üye

Bir de ek olarak HTTPS trafiğinin içeriğini de Man In The Middle (Ortadaki Kişi diye çevireyim) yöntemi kullanarak inceleyen/filtreleyen cihazlar var (örneğin Cisco Ironport).

Mesela banka ile HTTPS bağlantı kurmak istediğinizde aslında bu cihaz ile kuruyorsunuz bağlantıyı, o da banka ile HTTPS bağlantı kurup sizin isteğinizi iletiyor, ortadaki kişi oluyor yani cihaz. İki taraftaki iletişim de HTTPS olduğu için güvenlik de geçerli kalıyor.

 

 

 

CevapAlıntı
Gönderildi : 04/07/2010 01:26
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

TMG de aynı özelliği sunuyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 04/07/2010 01:38
Sayfa 2 / 3
Paylaş: